Общие критерии
- 1 year ago
- 0
- 0
Общие критерии оценки защищённости информационных технологий , Общие критерии , ОК ( англ. Common Criteria for Information Technology Security Evaluation , Common Criteria , CC) — принятый в России международный стандарт по компьютерной безопасности . В отличие от стандарта FIPS 140 , Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру ( framework ), в которой потребители компьютерной системы могут описать требования, разработчики могут заявить о свойствах безопасности продуктов, а эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом, Common Criteria позволяет обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведён с необходимой скрупулёзностью.
Прообразом данного документа послужили « Критерии оценки безопасности информационных технологий » ( англ. Evaluation Criteria for IT Security , ECITS), работа над которыми началась в 1990 году.
Стандарт содержит два основных вида требований безопасности: функциональные , предъявляемые к функциям безопасности и реализующим их механизмам, и требования доверия , предъявляемые к технологии и процессу разработки и эксплуатации.
Чтобы структурировать пространство требований, в стандарте используется иерархия класс-семейство-компонент-элемент: классы определяют наиболее общую, «предметную» группировку требований, семейства в пределах класса различаются по строгости и другим нюансам требований, компонент — минимальный набор требований, фигурирующий как целое, элемент — неделимое требование.
Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности, всего 11 функциональных классов (в трёх группах), 66 семейств, 135 компонентов.
К элементарным сервисам безопасности относятся следующие классы FAU, FIA и FRU.
Класс FAU включает шесть семейств (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA и FAU_ARP), причём каждое семейство может содержать разное число компонентов.
Назначение компонентов данного класса следующее.
FAU_GEN — генерация данных аудита безопасности. Содержит два компонента FAU_GEN.1 (генерация данных аудита) и FAU_GEN.2 (ассоциация идентификатора пользователя).
Требования гарантии безопасности (доверия) — требования, предъявляемые к технологии и процессу разработки и эксплуатации объекта оценки. Разделены на 10 классов, 44 семейства, 93 компонента, которые охватывают различные этапы жизненного цикла.
Разработке «Общих критериев» предшествовала разработка документа «Критерии оценки безопасности информационных технологий» ( англ. Evaluation Criteria for IT Security, ECITS), начатая в 1990 году , и выполненная рабочей группой 3 подкомитета 27 первого совместного технического комитета (или JTC1/SC27/WG3) Международной организации по стандартизации ( ISO ).
Данный документ послужил основой для начала работы над документом Общие критерии оценки безопасности информационных технологий ( англ. Common Criteria for IT Security Evaluation), начатой в 1993 году. В этой работе принимали участие правительственные организации шести стран ( США , Канада , Германия , Великобритания , Франция , Нидерланды ). В работе над проектом принимали участие следующие институты:
Стандарт был принят в 2005 году комитетом ISO и имеет статус международного стандарта, идентификационный номер ISO/IEC 15408 . В профессиональных кругах за этим документом впоследствии закрепилось короткое название — англ. Common Criteria, CC ; рус. «Общие критерии», ОК .
Прохождение сертификации неким продуктом в соответствии со стандартом Common Criteria может подтверждать или не подтверждать определенный уровень защищённости продукта, в зависимости от модели угроз и окружения.
В соответствии с методикой сертификации производитель сам определяет окружение и , в которых находится продукт. Именно в этих предположениях и проверяется соответствие продукта заявленным параметрам. Если после сертификации в продукте обнаружатся новые, неизвестные ранее уязвимости , производитель должен выпустить обновление и провести повторную сертификацию. В противном случае сертификат должен быть отозван.
Операционная система Microsoft Windows XP (Professional SP2 и Embedded SP2), а также Windows Server 2003 были сертифицированы на уровень Common Criteria EAL4+ по профилю CAPP в 2005-2007 годах, после чего для них были выпущены пакеты обновлений ( service pack ) и регулярно выпускались новые критические обновления безопасности. Тем не менее, Windows XP в проверявшейся версии по-прежнему обладал сертификатом EAL4+, . Это факт свидетельствует в пользу того, что условия сертификации (окружение и модель злоумышленника) были подобраны весьма консервативно, в результате чего ни одна из обнаруженных уязвимостей не применима к протестированной конфигурации.
Разумеется, для реальных конфигураций многие из этих уязвимостей представляют опасность. Microsoft рекомендует пользователям устанавливать все критические обновления безопасности.
В 2002 году приказом председателя Гостехкомиссии России были введены в действие следующие руководящие документы , разработанные на основе международных документов Common Criteria версии 2.3:
С этого момента в отечественной системе сертификации была формально разрешена сертификация изделий информационных технологий по требованиям заданий по безопасности. Поскольку область применения (классы автоматизированных систем) подобных сертификатов соответствия не была определена в явном виде, подобная сертификация в большинстве случае носила рекламных характер – производители предпочитали сертифицировать свои изделия по требованиям классических руководящих документов.
С 2012 года ФСТЭК России ведет активную работу по актуализации нормативной и методической базы сертификации средств защиты информации. В частности, были введены в действие требования к следующим типам средств защиты информации:
Требования для отдельного типа средств защиты информации оформлены в виде комплекта документов:
Профили защиты от 20 сентября 2017 на Wayback Machine на официальном сайте ФСТЭК России.Таким образом, в настоящее время сертификация изделий указанных типов проводится ФСТЭК России только на соответствие утверждённым профилям защиты.